AWS Security Hub 包含與下列發現項目相似的類型:
「[Lambda.1] Lambda 函數原則應禁止公用存取」
我該如何修正這種類型的發現項目?
簡短描述
如果 AWS Lambda 函數為以下情況,則此控制回應會失敗:
解決方案
執行以下其中一項:
更新政策,移除允許公開存取的權限。
-或-
把 AWS:SourceAccount 條件加入政策。
備註:
- 若要更新以資源爲基礎的政策,您必須使用 AWS Command Line Interface (AWS CLI)。
- 如果您在執行 AWS CLI 命令時收到錯誤訊息,請確保您使用的是最新版的 AWS CLI。
透過 Lambda 主控台依照說明來檢視以資源爲基礎的政策。根據您的使用案例,您可移除或更新 Lambda 函數的權限。
若要移除 Lambda 函數的權限,請執行類似下列內容的 AWS CLI 命令來移除權限:
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
若要更新 Lambda 函數的權限,請執行類似下列內容的 AWS CLI 命令來新增權限:
$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>
若要確認權限是否已移除或更新,請重複上述指示,透過 Lambda 主控台檢視以資源爲基礎的函式政策。
現在應該更新以資源爲基礎的政策。
**備註:**如果政策中只有一個陳述式,則該政策為空白。
如需詳細資訊,請參閱 AWS 基礎安全性最佳做法控制項。
相關資訊
lambda-function-public-access-prohibited